Review
MikroTik RB3011パフォーマンスレビュー
MikroTik RB3011の実用的なパフォーマンスレビュー — スループット制限、VPNの上限、CPU負荷、ISP向け最適化のヒント。.
概要 MikroTik RB3011は、10個のGigabit Ethernetポートを備えたデュアルコアARMルーターで、長年にわたりSMBネットワークと小規模ISPの「コスト効率の高いMikroTik」として選ばれてきました。そのアーキテクチャ — 1.4 GHzのCPUの背後にある2つのスイッチチップ — がその強みと上限の両方を形作っています。このレビューでは、実際のスループット、CPUが飽和する場所、VPNオプションが実際にどのように動作するか、そしてプラットフォームを最大限に活用する最適化チェックリストをカバーします。
MikroTik RB3011とは?
MikroTik RB3011UiAS-RMは、10個のGigabit EthernetポートとSFPケージを備えたデュアルコアARMルーターで、SMBネットワークと小規模ISP向けのコスト効率の高いエッジルーターとして設計されています。内部的には、1.4 GHzのQualcomm IPQ-8064 CPUと2つの独立したスイッチチップを組み合わせており、それぞれが10個のEthernetポートの半分を処理します。分割スイッチ設計はコストと消費電力の両方を削減しながらスイッチ内転送を高速に保ちますが、デバイスが実際の負荷下でどのように動作するかを定義するアーキテクチャ上の制約も生み出します。
その他の仕様も同様に実用的です:1 GB RAM、128 MB NAND、パッシブ冷却、Ether1のPoE入力、Ether10のPoE出力、そして一目でステータスがわかる小型フロントパネルLCD。シャーシはラックマウント可能で、ほとんどのオフィス環境で涼しく動作し、寿命が問題になる前に約80 °Cまでの周囲温度に耐えます。
アーキテクチャの強みと制限
RB3011の分割スイッチアーキテクチャは、トラフィックが単一のスイッチチップ内に留まる場合に高速です — ハードウェアオフロードされた転送はCPU負荷が無視できるレベルでワイヤースピードを達成します。落とし穴は、ポートグループを横断するもの、ルーティングを必要とするもの、NATを必要とするもの、ファイアウォールルールを必要とするものは、すべてCPUを通過する必要があることです。ルーティング、NAT、ファイアウォール、キューイング、PPPoE、VPN暗号化を扱う2つのコアでは、CPUはポート数が示唆するよりも速く飽和します。
重要な2つ目の制約があります:各スイッチチップとCPUの間のリンクはわずか1〜2 Gbpsです。RB3011はすべてのポートで同時に完全なGigabitルーティングを持続的にプッシュすることはできません。WAN経由で数百MbpsをプッシュするSMBサイトには関係ありません。マルチGigabit集約トラフィックを提供する小規模ISPにとっては、これが重要な数字です。
スループット:本番環境で実際に得られるもの
MikroTik独自のRFC2544ベンチマークは、FastPathが有効な場合に1518バイトのパケットで最大約4 Gbpsの理想的なルーティングスループットを公開しています。その数字は理論上の上限であり、現実的な期待値ではありません。実際のインターネットトラフィックには多くの小さなパケット — DNSクエリ、TCP ACK、コントロールプレーンの雑談 — が含まれており、小さなパケットがCPUの1秒あたりのパケット数の上限に達するものです。
64バイトのフレームでは、スループットは約231 Mbpsに崩壊します。CPUは1秒あたりの帯域幅を使い切る前に1秒あたりのサイクルを使い切ります。混合した実世界のワークロードは、ルーティングのみのシナリオで約600〜800 Mbpsに落ち着きます。NATと典型的なファイアウォールルールセットを追加すると、ルールの複雑さとRouterOSのバージョンによっては数字が300〜600 Mbpsに下がります。v6にあったルートキャッシュを削除したRouterOS v7は、RB3011のIPQ-8064のような古いCPUでより悪いパフォーマンスを示します — より良いパフォーマンスを期待してアップグレードする運用者にとっては直感に反する結果です。
ヒント: FastTrackはRB3011で不可欠です。これがないと、ルーティング+NATのスループットはしばしば350 Mbpsを下回ります。これは「あれば良い」ものではありません — プラットフォームが機能するために必要です。
ファイアウォール、キュー、CPU負荷
ファイアウォールルールやキューツリーを追加し始めると、CPUバウンドの処理が明らかになります。MikroTik自身のテストでは、25のファイアウォールルールが64バイトのパケットでスループットを約60 Mbpsに減少させました。より大きなパケットサイズでも、スループットは500 Mbps未満を漂っていました。キューイングはさらにコストを追加します:多くのセットアップは、適度なキュー負荷下で40〜60%のスループット損失を観察します。
実際の意味は単純です — RB3011は適度なフィルタリングをうまく処理しますが、重いUTMスタイルのワークロードには間違ったデバイスです。深いパケット検査、レイヤー7フィルタリング、またはGigabit速度での積極的なシェーピングが必要な場合、RB3011はそこへ連れて行ってくれません。CCR2004とCCR2216のラインがそのワークロードの正しい答えです。
VPNパフォーマンス:IPsec、PPPoE、OpenVPN
RB3011のIPsecパフォーマンスは、ARM NEONアクセラレーションのおかげで大きなパケットで驚くほど良好です — 最大約780 Mbpsです。小さなパケットに下げると、スループットは約38 Mbpsに低下します。混合した実世界のVPNワークロードは約300 Mbpsに着地します。
PPPoEは設計上シングルスレッドであるため、1つのCPUコアを最大限活用します。FastTrackを有効にしても、約500 Mbpsを期待してください。OpenVPNはハードウェアアクセラレーションがなく、TCPトランスポートがオーバーヘッドを追加するため、パフォーマンスが悪くなります — このデバイスで高速なトンネルが必要な場合は、MikroTikでのWireGuardチュートリアルをご覧ください。WireGuardはほとんどのMikroTikハードウェアでOpenVPNとIPsecの両方を上回るためです。
実用的な最適化チェックリスト
この6つのステップでプラットフォームを最大限に活用しましょう:
- IPv4トラフィック用にFastTrackを有効にします。オプションではありません。
- 可能な限りハードウェアオフロードされたブリッジングを使用してください — スイッチングのためにCPUをバイパスします。
- ファイアウォールルールの数と複雑さを最小限に抑えます。最もヒットするルールが最初になるようにルールを順序付けます。
- Gigabitリンクをシェーピングする際は深いキューツリーを避けてください — ネスティングの各レベルがCPUを消費します。
- デバイスを十分に換気してください。パッシブ冷却は閉じたキャビネットを限られた時間しか許容しません。
- ポート使用量を調整し、高需要のパスが同じスイッチチップ内に留まるようにします。
より広範な運用コンテキストについては、MikroTikでのNAT設定のガイドと、時間の経過に伴うRB3011のパフォーマンストレンドを追跡するためのSNMPベースの監視チュートリアルをご覧ください。
次のステップを踏み出す
RB3011デバイスの群れを運用するということは、多くのサイトにわたってCPU飽和、ファイアウォールルールのドリフト、FastTrackの一貫性を管理することを意味します。1つのデバイスで間違ったルール順序があると、そのスループットから200 Mbpsが削られます。別のデバイスでFastTrackルールが欠落していると、容量の60%に制限されます。顧客が気付くまで気付かないでしょう。
MKControllerは、CPU飽和、スループットトレンド、設定ドリフト、温度データを、インベントリ内のすべてのMikroTikにわたって1つのダッシュボードで明らかにします。デバイスが苦しみ始めると — RB3011がよくするようにゆっくりと — ダッシュボードはサポートチケットが到着する前にそれを確認します。